Модели на риск за платежни платформи: пълно практическо ръководство

  • Управлявайте кредитите, измамите и узурпацията с адаптирани към риска процеси за внедряване, наблюдение и смекчаване.
  • Засилва сигурността и съответствието (PCI, 3DS, AVS, CVV, SSL/TLS, токенизация), за да намали нарушенията и сторнираните плащания.
  • Той комбинира инструменти на трети страни и модели за машинно обучение с управление на риска, анализи и непрекъснат преглед.
Alberto Navarro

13 Minutos

Модел на риска в платежните платформи

В дигиталните бизнеси управлението на рисковете е ежедневно явление: от тези, които засягат репутацията, до тези, които оказват влияние върху операциите и финансите. В областта на плащанията, експозицията е концентрирана върху три ключови фронта: кредити, измами и поглъщане на сметки.И въпреки че пълното им елиминиране е невъзможно, можем да ги намалим с процеси, технологии и преценка.

Платформите, които улесняват плащанията към трети страни, съществуват едновременно със специфична структура на риска: самата платформа, търговците или доставчиците, които обработват плащанията, и картодържателите, които плащат, съществуват едновременно. Този „троен слой“ създава взаимозависимости и кръстосани рискове, които трябва да бъдат адресирани чрез стратегии за адаптация, непрекъснато наблюдение и смекчаване на последиците.подкрепено от стандарти за сигурност, съответствие с регулаторните изисквания и инструменти на трети страни.

Преглед на рисковете при дигиталните плащания

Преди да навлезем в тактически подробности, е необходимо да дефинираме понятията. Кредитен риск възниква, когато е необходимо да се покрият възстановявания на суми или сторнирани суми, а паричните резерви на продавача са недостатъчни.Измама възниква, когато се обработват неоторизирани такси (откраднати карти, BIN тестове и др.); а поглъщане на акаунт възниква, когато измамник поеме контрол над акаунта на легитимен продавач.

Класически пример: платформа за събития ликвидира организаторите преди датата на шоуто и то се отменя. Ако организаторът не може да върне парите, платформата поема загубата.Този случай показва защо графикът за трансфери и първоначалната оценка на риска са толкова важни.

В допълнение към икономическия вектор, съществува и техническият: Техниките за измами се развиват успоредно с приемането на електронната търговия, безконтактните плащания и дигиталните портфейли.Следователно, сигурността е необходимо условие за растеж и съответствие с регулаторните органи и клиентите.

Стратегии за управление на кредитния риск

Целта е да се предвидят отрицателни салда и концентрации на експозиция от страна на доставчици или вертикали. Мерките са организирани в три оси: внедряване, мониторинг и смекчаване.

Onboarding

  • Оценка за прием: Събира бизнес информация (продукт/услуга, политика за връщане, прогноза за обем, история на подобни платформи) и, за големи продавачи, прилага ръчни прегледи с финансови отчети и кредитни запитвания към собственици и мениджъри.

  • Временни контроли: Задайте първоначални дневни/месечни лимити за обем и, ако те бъдат превишени, поставете на пауза преводите, за да прегледате активността, докато не разберете модела на търговия на сметката.

  • Резервации: изисква гаранции (напр. чрез резерви от фондове) за сметки с високорисков профил и Постепенно освобождава този резерв, когато демонстрират добри резултати..

Мониторинг

  • Динамични сигнали: Следи спорове, отрицателни салда, рекламации и промени в обема. Всеки процент на спорове над 0,75% е предупредителен знак което изисква незабавни действия.

  • Периодични прегледи: В допълнение към ежедневните сигнали, планирайте задълбочени прегледи, за да видите тенденциите в сторнираните плащания, възстановяванията на суми, концентрацията по клиент/държава и средния размер на заявката.

  • Проактивно образование: споделя ръководства и ресурси за извънредни ситуации (здравни кризи, природни бедствия) да помогне на продавачите да управляват връщанията и да обслужват клиентите си.

Смекчаване

  • Забавяне на трансфери: Той коригира честотата на сетълмент според категорията на риска. За отложени стоки/услуги, задържане на средства до доставката за намаляване на връщанията и възстановяванията на плащания.

  • Управление на отрицателния баланс: внедрява автоматични дебити или планове за възстановяване в зависимост от юрисдикцията за регулиране на сметки с отрицателни салда и предотвратяване на риска от падане върху платформата.

  • Граници на концентрация: определя прагове на експозиция по държава, вертикал или доставчик (напр. един доставчик не може да надвишава определен процент от общия риск) и затяга политиките, ако те бъдат превишени.

  • Заснемане близо до доставката: приблизително плащане и доставка; първо разрешава и заснемане, когато услугата/продуктът е предоставен.

Стратегии за управление на риска от измами

Измамно плащане е такова, което картодържателят не е оторизирал. Това може да са покупки, направени с откраднати карти, или атаки за „тестване на карти“. за валидиране на номерацията. Платформата трябва да бъде покрита от измама с купувачи и това на измамните продавачи, с поетапни мерки.

Onboarding

  • Идентичност и легитимност: Проверете бизнеса: присъствие в социалните медии, лицензи, функционален уебсайт (внимавайте с копиран текст, тромави шаблони), физически адрес и инвентар или служебни записи.

  • Открива дубликати: проверява данни (IBAN, данъчна информация, име/дата на раждане) спрямо отхвърлени сметки, идентични IP адреси или модели на домейни и взаимовръзки между акаунти.

  • Резерви за риск: точно както с кредита, запазване на гаранция към сметки с по-висока вероятност за измама и да го освобождавате на етапи.

Мониторинг

  • Дефинирайте нормалност: профилира типичното поведение на всеки продавач (месечен обем, процент на спорове, средна стойност на заявките) до откриване на аномалии чрез отклонение.

  • Персонализирани сигнали: създава ad hoc правила въз основа на наблюдавани модели в потвърдени случаи на измама за да изпреварите новите опити.

  • Допълнителни тестове: Ако забележите подозрителни признаци, поискайте фактури, снимки на инвентара или номера за проследяване и да спрете плащанията, ако е необходимо.

Смекчаване

  • Условна ликвидация: коригира графиците за плащане, изложени на риск, и забавя трансферите докато не се потвърди стабилността на процентите на сторнирани плащания.

  • Тест на картата: Необичайните пикове в отхвърлените плащания (кодове 402) показват тестване на картата. Въведете бариери като CAPTCHA или ограничения за IP адрес/устройство.

Поемане на контрол над акаунта

Дори при легитимни продавачи, нападателят може да открадне акаунта и да отклони средства. Най-добрата защита съчетава надеждна проверка и наблюдение на поведенческите сигнали..

  • Проверка на самоличността и сигурността: политики за силни пароли, двуетапно удостоверяване и Контрол на достъпа добре проектиран.

  • Предупредителни знаци: пикове на обема, увеличение на средната цена на билета, започвайки от отдалечени IP адреси или „нови“ устройства. Спрете прехвърлянията, ако откриете аномалии.

Сигурност, съответствие и технически контрол

Сигурността на плащанията се основава на стандарти. В края на 90-те години на миналия век Visa стартира CISP и малко след това другите мрежи създадоха свои собствени програми. За да се унифицират критериите, беше създаден PCI DSS, глобалният стандарт, който определя контрола за тези, които обработват, предават или съхраняват данни за карти..

PCI DSS класифицира съответствието по нива; Ниво 1 изисква одит от външен оценител Ниво 4 позволява самооценка, базирана на обем и експозиция. Интегрирането с шлюзове, които капсулират данни, помага за намаляване на повърхността за атака, но не освобождава потребителите от най-добрите практики.

Шифроване: Защитете данните по време на пренос с SSL/TLS и конфигурирайте силни алгоритми. Асиметричната криптография добавя слоеве, като разделя публичните и частните ключове. Актуализирайте системите и завъртете ключовете това е съществено.

Токенизация: PAN номерата се заменят със случайни токени. Плащанията се оторизират с вътрешни ключове. предотвратяване на ненужно пренасяне или съхранение на чувствителни даннидори в екосистеми с множество участници.

Authentication: от допълнителни фактори до анализ на транзакционния риск. 3D Secure (3DS) анализира IP адреса, историята и сумата; Ако открие риск, изисква допълнителна стъпка (например еднократна парола чрез SMS/имейл).

SSL/TLS и „катинар“: Префиксът HTTPS показва криптиран канал, но бъдете внимателни: Злонамерени уебсайтове също могат да получат сертификатиТака че ключалката не е празен чек.

AVS и CVV: Проверката на адреса и кодът за сигурност добавят полезно триене. Те работят по-добре заедно (AVS може да се провали поради остарели адреси, а CVV е уязвим при изтичане на информация), така че е препоръчително да се интегрират в многопластов подход.

Сигурност и съответствие на плащанията

Методи на плащане и най-добри практики от страна на потребителя

На картата магазинът иска име, номер, дата на валидност и често CVV код. Ако има банков портал, процесът се извършва в защитена среда извън магазина.който не вижда данните; в противен случай попечителството и рисковете падат върху магазина. (вижте плащане в брой или с карта)

На измамни уебсайтове, Данните от картата попадат в ръцете на престъпници. за неоторизирани покупки или социално инженерство. Една проста мярка: използвайте карта „само онлайн“ с ограничен баланс, за да сведете до минимум въздействието на инцидентите.

Посредници (PayPal, Amazon Pay, Google Pay, Apple Pay) Те действат като слой за поверителност и разрешаване на спорове.Магазинът не вижда картата, а доставчикът помага, ако има измама. Внимавайте обаче с... фишинг, който се представя за тези марки.

С мобилни телефони с NFC, Google Pay/Apple Pay позволяват безконтактни плащания и плащания в приложения. Сигурността се основава на токенизация и удостоверяване на устройството.Но не е добра идея да „доверявате на всичко“: проверявайте какви покупки правите, разрешенията на приложенията и сумите.

Bizum, интегриран в мобилното банкиране, ускорява преводите между физически лица и фирми. Изисква официално банково приложение, 4-цифрен ПИН код и двуфакторно удостоверяванеМного измами пристигат чрез SMS с молба да приемате плащания: винаги проверявайте подателя, преди да потвърдите.

В Испания OSI/INCIBE предлагат ресурси и телефонна линия 017 за въпроси, свързани с киберсигурността. Обучението и знанието как да разпознавате повтарящи се измами (като например BEC или фишинг) предотвратява много проблеми..

Относно бисквитките, Те са от съществено значение за комфорта и функционалността.Можете да активирате/деактивирате категории, с изключение на тези, които са строго необходими. Моля, обърнете внимание, че Блокирането на определени „бисквитки“ може да влоши потребителското изживяване и че изборът ви обикновено се запазва, когато натиснете „Запазване на промените“.

Онлайн финансови платформи, PSD2 и отворено банкиране

Дигитализацията, ускорена от пандемията, даде тласък финтех и отворено банкиранеРегламентът PSD2 позволява агрегирането на сметки и плащания, инициирани от трети страни, отваряйки гамата от платформи.

Често срещани видове: онлайн банкиране, портфейли, PFM (лични финанси), криптовалути, търговия и др. Електронните портфейли улесняват малките и чести плащания и обикновено са безплатни между портфейлите, като таксуват за тегления към банкови сметки.

PayPal е класическият пример за разширен портфейл и алтернатива на картата. В тяхната схема, този, който получава парите, обикновено поема комисионната., което опростява преживяването на купувача.

В криптовалутите, блокчейн защитава транзакциите и контролира издаването. Предимства: по-ниска цена поради липса на посредници и почти незабавно сетълментЗа разлика от PayPal, транзакцията с Bitcoin е P2P през публична, разпределена мрежа, а последните... вълна от лицензи на MiCA отбелязва съответните регулаторни промени.

Онлайн търговията става все по-достъпна, изисква брокер и свързаните с него комисионниЛекотата на използване не елиминира риска: с ливъридж можете да спечелите големи суми или да ги загубите също толкова бързо.

Рискове на тези платформи: липса на финансово образование, сигурност (криптовалутите се справят добре днес, въпреки че квантовите изчисления са предизвикателство за бъдещето), волатилност, потенциални зависимости, непрозрачни такси, регулация (проверка на брокери съгласно MiFID) и защита на данните.

Някои решения предлагат екскурзоводско обслужване или интерактивни обиколки За да разберете функциите и рисковете. Използвайте ги, но не делегирайте критична преценка: най-добрата ви защита е разбирането на продукта.

Цената на измамата и как да се създаде сигурна система за плащане

Измамите в електронната търговия са скъпоструващи: във Великобритания стотици милиони британски лири бяха откраднати през първата половина на 2022 г. чрез оторизирани и неоторизирани измами. През 2020 г. измамите в електронната търговия са представлявали 66% от всички измами с карти. със стотици милиони паунда. Освен това, BEC (компрометиране на бизнес имейли) доминира в опитите за измама с плащания и Повече от половината отдели на AP съобщават за имейл атаки.

В областта на киберсигурността британското правителство посочва, че 39% от компаниите са открили атаки; от тях 89% е бил фишинг и 21% се дължат на DDoS атаки, зловреден софтуер или ransomware. Цената на пробивите също играе важна роля: IBM/Ponemon оценява милиони на инцидент в Обединеното кралство.

Четири ключови стъпки при настройване на онлайн плащания

  • Разбиране на това, което е подозрително: Множество поръчки от един и същ IP адрес с различни карти, необичайни билети с експресна доставка… използвайте множество точки от данни, за да да се прави разлика между „добри“ и „лоши“ транзакции.

  • Активиране на AVS + CVV2: проверка на адрес и код за сигурност, Заедно те вдигат летвата за измамниците..

  • Съответствие с PCI DSS: с експертен партньор за управление на сканирането, обучението и поддръжката, Ще намалите вероятността и въздействието на пропуските.

  • Избор на правилния процесор: Доставчик, който дава приоритет на безопасността и разбира вашия модел, ще ви помогне балансиране на триенето и преобразуването.

Стратегии, доставчици и инструменти за работа с по-малък риск

Много платформи делегират риска от плащанията на трета страна, за да облекчат оперативната тежест. Решенията за „управлявано управление на риска“ обхващат мониторинг на кредити и измами, и дори невъзстановими отрицателни салда. на свързани бизнеси, освобождавайки платформата да се съсредоточи върху своята същност.

Тези, които избират да управляват риска вътрешно Те се нуждаят от инженеринг, операции и капитал, за да поемат загубите., както е описано от рискове от работа с търговски платформиВ допълнение към интегрирането на инструменти за борба с измамите, наблюдението и отчитането на ключови показатели за ефективност (KPI) за загуби, ключови са и правните и помощни услуги: отговарянето на одити и потребителски запитвания относно сторнирани плащания или забавяния на преводите е от съществено значение.

Сред наличните комплекти се открояват защитата, базирана на изкуствен интелект, и конфигурируемите правила. блокиране на сметки и рискови транзакцииработни процеси за адаптация, които събират документация и се адаптират към регулаторните промени, решения за проверка на самоличността за спрете фалшивите акаунти, разширена аналитика (напр. SQL-подобни заявки към вашите данни) и уеб куки за известияПри плащания към трети страни, гъвкавите графици позволяват отлагане или забавяне на плащанията в зависимост от профила на продавача.

Съществуват и платформи за оркестрация на плащания с откриване на измами в реално време и маршрутизиране чрез най-ефективния процес на удостоверяване, запазвайки независимост от придобиващата компания, за да оптимизира оторизацията и сигурността.

Що се отнася до минимизиране на сторнирани плащания, съществуват мрежи, които свързват издатели и търговци (като Ethoca) с Уведомявайте за опити за връщане на суми и активирайте бързо възстановяване на суми преди официалният процес да ескалира, спестявайки време и такси.

Модели на риск и машинно обучение, приложени към плащанията

Отвъд правилата, моделите могат проследяване на поведението на плащанията във времето и да предвиждат неизпълнения или измами при промяна на икономическите или клиентските условия. Техники като GBDT, SVM или класически методи (логитичен, дискриминантен) са доказали своята ефективност при сценарии за оценяване и откриване.

Изборът на променливи е важен: Генетичните алгоритми помагат за избора на подходящи черти с ефективни евристики; типичният му поток итерира популация, пригодност, селекция, кръстосване и мутация, докато не се сближи с подмножества с по-добра предсказваща сила.

Съществуват предизвикателства, свързани с данните: липсващи стойности и най-вече краен дисбаланс между „добро“ и „лошо“Подсемплирането и свръхсемплирането могат да помогнат, въпреки че не са панацея; тяхната полезност зависи от набора от данни и трябва да бъдат стриктно валидирани.

Моделите изискват непрекъснато наблюдение и повторно калибриране За да се избегне отклонение. Когато моделите се променят (нови тактики за измами, макро промени), производителността спада, ако не се актуализира. Препоръчителни практики са показатели за стабилност, бектестове и тестване на шампион/претендент.

И накрая, изкуственият интелект е изключително мощен инструмент, но Това трябва да бъде допълнено с бизнес познания и добро управление на рискаКомбинирането на данни, опит и технологии е това, което прави разликата в крайна сметка.

Ако разгледаме цялостната картина – заплахи, технически контроли, процеси за управление на риска, стандарти и инструменти –, Рецептата включва внимателна оценка на това кого ще привлечете, наблюдение на случващото се, своевременно спиране на инцидентите, спазване на разпоредбите и разчитане на надеждни партньори.Всичко това, като същевременно предлагаме на клиентите и продавачите безпроблемно изживяване, със сигурни методи на плащане (карта, портфейли, NFC или Bizum) и без да намаляваме защитата си срещу измами, които, за съжаление, продължават да се развиват.

Разкриване на измами, задвижвано от изкуствен интелект, във финтех
Свързана статия:
Разкриване на измами с изкуствен интелект във финтех